پرو هوسٽر > بلاگ > انتظاميه > ٻيهر: اسٽور، سامسنگ، سوني سينٽر، نائيڪي، ليگو ۽ اسٽريٽ بيٽ اسٽورن تان ڪسٽمر ڊيٽا جو ليڪ ٿيڻ

ٻيهر: اسٽور، سامسنگ، سوني سينٽر، نائيڪي، ليگو ۽ اسٽريٽ بيٽ اسٽورن تان ڪسٽمر ڊيٽا جو ليڪ ٿيڻ

گذريل هفتي Kommersant ٻڌايو، ته ”اسٽريٽ بيٽ ۽ سوني سينٽر جا ڪلائنٽ بيس عوامي ڊومين ۾ هئا ،“ پر حقيقت ۾ سڀ ڪجهه ان کان وڌيڪ خراب آهي جيڪو مضمون ۾ لکيو ويو آهي.

ٻيهر: اسٽور، سامسنگ، سوني سينٽر، نائيڪي، ليگو ۽ اسٽريٽ بيٽ اسٽورن تان ڪسٽمر ڊيٽا جو ليڪ ٿيڻ

مون اڳ ۾ ئي هن ليک جو تفصيلي ٽيڪنيڪل تجزيو ڪيو آهي. ٽيليگرام چينل ۾، تنهنڪري هتي اسان صرف مکيه نقطي تي وڃون ٿا.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

هڪ ٻيو Elasticsearch سرور انڊيڪس سان گڏ آزاد طور تي دستياب هو:

  • graylog2_0
  • پڙهڻ
  • unauth_text
  • كي:
  • graylog2_1

В graylog2_0 16.11.2018 نومبر 2019 کان مارچ XNUMX تائين لاگز تي مشتمل آهي، ۽ اندر graylog2_1 - لاگ ان مارچ 2019 کان 04.06.2019/XNUMX/XNUMX تائين. جيستائين Elasticsearch تائين رسائي بند آهي، رڪارڊ جو تعداد ۾ graylog2_1 وڌيو

Shodan سرچ انجڻ جي مطابق، هي Elasticsearch نومبر 12.11.2018، 16.11.2018 کان آزاد طور تي دستياب آهي (جيئن مٿي لکيو ويو آهي، لاگن ۾ پهرين داخل ٿيڻ جي تاريخ نومبر XNUMX، XNUMX آهي).

لکن ۾ ، ميدان ۾ gl2_remote_ip IP پتي 185.156.178.58 ۽ 185.156.178.62 بيان ڪيا ويا، DNS نالن سان srv2.inventive.ru и srv3.inventive.ru:

ٻيهر: اسٽور، سامسنگ، سوني سينٽر، نائيڪي، ليگو ۽ اسٽريٽ بيٽ اسٽورن تان ڪسٽمر ڊيٽا جو ليڪ ٿيڻ

مون اطلاع ڏنو تخليقي پرچون گروپ (www.inventive.ru) مسئلي بابت 04.06.2019/18/25 تي 22:30 تي (ماسڪو وقت) ۽ XNUMX:XNUMX تائين سرور ”خاموشيءَ سان“ عوامي پهچ کان غائب ٿي ويو.

لاگز تي مشتمل آهي (سڀ ڊيٽا تخمينو آهن، نقلن کي حسابن مان نه هٽايو ويو آهي، تنهنڪري حقيقي لڪايل معلومات جو مقدار تمام گهڻو گهٽ آهي):

  • ٻيهر: اسٽور، سامسنگ، اسٽريٽ بيٽ ۽ ليگو اسٽورن جا 3 ملين کان وڌيڪ اي ميل ايڊريس
  • ٻيهر: اسٽور، سوني، نائڪ، اسٽريٽ بيٽ ۽ ليگو اسٽورن جا 7 ملين کان وڌيڪ فون نمبر
  • سوني ۽ اسٽريٽ بيٽ اسٽورن جي خريدارن جي ذاتي اڪائونٽن مان 21 هزار کان وڌيڪ لاگ ان/پاسورڊ جوڙا.
  • فون نمبرن ۽ اي ميل سان گڏ اڪثر رڪارڊ ۾ مڪمل نالا (اڪثر ڪري لاطيني ۾) ۽ وفاداري ڪارڊ نمبر شامل آهن.

نائيڪي اسٽور ڪلائنٽ سان لاڳاپيل لاگ مان مثال (سڀ حساس ڊيٽا کي "X" اکرن سان تبديل ڪيو ويو):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

۽ هتي هڪ مثال آهي ته ڪيئن ويب سائيٽن تي خريد ڪندڙن جي ذاتي اڪائونٽن مان لاگ ان ۽ پاسورڊ محفوظ ڪيا ويا sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

ان واقعي تي IRG جو سرڪاري بيان پڙهي سگهجي ٿو هتي، ان مان اقتباس:

اسان هن نقطي کي نظرانداز نه ڪري سگهياسين ۽ صارفين جي ذاتي اڪائونٽن جا پاسورڊ عارضي طور تي تبديل ڪري ڇڏيا، ذاتي اڪائونٽن مان ڊيٽا جي جعلي مقصدن لاءِ ممڪن استعمال کان بچڻ لاءِ. ڪمپني Street-beat.ru گراهڪن جي ذاتي ڊيٽا جي لڪير جي تصديق نٿو ڪري. Inventive Retail Group جي سمورن منصوبن کي اضافي طور چيڪ ڪيو ويو. گراهڪن جي ذاتي ڊيٽا کي ڪو به خطرو نه مليو.

اها خراب ڳالهه آهي ته IRG اهو نه ٿو سمجهي سگهي ته ڇا ليڪ ٿيو آهي ۽ ڇا نه ڪيو آهي. هتي اسٽريٽ بيٽ اسٽور ڪلائنٽ سان لاڳاپيل لاگ مان هڪ مثال آهي:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

بهرحال، اچو ته واقعي خراب خبر ڏانهن وڃو ۽ وضاحت ڪريون ته هي IRG ڪلائنٽ جي ذاتي ڊيٽا جو ليڪ ڇو آهي.

جيڪڏهن توهان هن آزاديءَ سان دستياب Elasticsearch جي انڊيڪسز تي غور سان ڏسندا، ته توهان انهن ۾ ٻه نالا ڏسندا: پڙهڻ и unauth_text. هي ڪيترن ئي ransomware اسڪرپٽ مان هڪ جي هڪ خاص نشاني آهي. اهو سڄي دنيا ۾ 4 هزار کان وڌيڪ Elasticsearch سرورز کي متاثر ڪيو. مواد پڙهڻ هن وانگر ڏسڻ ۾ اچي ٿو:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

جڏهن ته IRG لاگز سان سرور آزاديءَ سان پهچندو هو، هڪ ransomware اسڪرپٽ ضرور ڪلائنٽ جي معلومات تائين پهچ حاصل ڪري چڪو هو ۽، پيغام موجب اهو ڇڏي ويو، ڊيٽا ڊائون لوڊ ڪئي وئي.

ان کان علاوه، مون کي ڪو شڪ ناهي ته هي ڊيٽابيس مون کان اڳ مليو هو ۽ اڳ ۾ ئي ڊائون لوڊ ڪيو ويو هو. مان اهو به چوندس ته مون کي ان ڳالهه جي پڪ آهي. ڪو به راز ناهي ته اهڙيون کليل ڊيٽابيس مقصد سان ڳولي رهيا آهن ۽ ٻاهر پمپ ڪيا ويا آهن.

معلومات جي لڪير ۽ اندروني بابت خبرون هميشه منهنجي ٽيليگرام چينل تي ڳولي سگهجن ٿيون "معلومات لڪي»: https://t.me/dataleak.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو